DeepSeek: Datenspeicherung sorgt für heftige Kritik

Die Künstliche Intelligenz (KI) DeepSeek steht unter erheblichem Druck, nachdem bekannt wurde, dass sie auf großem Umfang Tastatureingaben ihrer Nutzer speichert. In den Datenschutzhinweisen wird klargestellt, dass so genannte „Tastatureingabemuster oder -rhythmen“ erfasst werden, was bedeutet, dass das System Muster in der Art und Weise analyisiert, wie Nutzer ihre Eingaben tätigen. Dies könnte theoretisch zur Identifizierung von Personen führen. Eine Sprecherin des Bundesamts für Sicherheit in der Informationstechnik (BSI) erklärte auf Anfrage, dass sogar Eingaben innerhalb der App möglicherweise mitgelesen werden könnten, bevor sie abgeschickt werden.

Das BSI hat Bedenken über die Sicherheitsrisiken, die diese Art der Verarbeitung für „sicherheitskritische Bereiche“ darstellt. Ein Beispiel für den Missbrauch solcher Tastatureingabemuster könnte die Erstellung von Nutzungsprofilen mit Hilfe von Künstlicher Intelligenz sein, was laut den Experten des BSI bedenklich ist. Im Gegensatz dazu haben etablierte US-Konkurrenten wie OpenAI versichert, dass sie nicht aktiv nach persönlichen Daten suchen und keine öffentlichen Daten im Internet für die Erstellung von Nutzerprofilen verwenden.

Ein weiteres brisantes Thema ist der Cloud Act in den USA, der amerikanische Unternehmen dazu verpflichtet, Behörden Zugang zu Daten zu gewähren – auch wenn diese im Ausland gespeichert sind. Während einige Experten darauf hinweisen, dass die Speicherung von Tastatureingaben durch DeepSeek nicht direkt mit einem sogenannten „Keylogger“ vergleichbar ist, der alle Tastendrücke mitprotokolliert, warnen andere vor den weitergehenden Möglichkeiten des Missbrauchs. Der Fachmann Rüdiger Trost erklärt, dass DeepSeek zwar nicht als Keylogger fungiert, aber dennoch potenziell gefährliche Eingabemuster speichert, die für Cyberkriminelle von Interesse sein könnten.

In einer Untersuchung des US-Cybersicherheitsdienstleisters Palo Alto Networks konnte DeepSeek ganz einfach für kriminelle Zwecke manipuliert werden. Mit den richtigen Kommandoaufrufen, auch Prompts genannt, war es den Experten möglich, Skripte zu erstellen, die Daten aus E-Mails und Word-Dokumenten auslesen konnten. Diese Skripte werden häufig von Hackern verwendet, um persönliche Daten zu stehlen.

Das Umgehen von Sicherheitsvorkehrungen wird in der Software-Branche als „Jailbreaking“ bezeichnet. Laut Palo Alto Networks mangelt es DeepSeek an den nötigen Schutzmechanismen, um sicherzustellen, dass kein bösartiger Missbrauch stattfinden kann. Ihre Forscher berichteten, dass sie einfache Methoden nutzten, um auf gefährliche Inhalte zuzugreifen und diese zu erstellen.

Ein weiterer besorgniserregender Aspekt von DeepSeek ist, dass das Unternehmen nach chinesischem Recht verpflichtet ist, alle gespeicherten Daten innerhalb Chinas zu lagern. Zudem verpflichtet das chinesische Geheimdienstgesetz Bürger und Unternehmen dazu, mit den Sicherheitsbehörden zu kooperieren. Dies führt zu Bedenken, dass der chinesische Staat Zugriff auf alle dort gespeicherten Daten haben könnte.

Angesichts dieser Vorwürfe plant der Datenschutzbeauftragte von Rheinland-Pfalz ein Prüfverfahren gegen DeepSeek. Verschiedene deutsche Datenschutzbehörden könnten ebenfalls involviert sein, da das Unternehmen anscheinend keinen gesetzlichen Vertreter in der EU benannt hat – ein Verstoß gegen die Datenschutz-Grundverordnung der EU, der mit Geldstrafen geahndet werden kann. Bereits im Januar setzte die italienische Datenschutzbehörde DeepSeek auf ihre schwarze Liste.

In Deutschland haben Ministerien, Bundesbehörden und große Unternehmen begonnen, strenge Sicherheitsvorkehrungen zu treffen, um sich vor Cyberattacken zu schützen, und schließen dabei auch Künstliche Intelligenz ein. Das Bundesinnenministerium hat beispielsweise die Verwendung externer Cloud-Dienste gänzlich untersagt. Andere Ministerien, wie das Finanzministerium, haben die Nutzung von textgenerierenden KI-Anwendungen ebenfalls stark eingeschränkt.

Selbst große Unternehmen wie die Münchner Wacker Chemie haben entschieden, DeepSeek und ähnliche Anwendungen nicht auf ihren Firmenrechnern zuzulassen, um ihre sensiblen Daten zu schützen. Dax-Konzerne verwenden besondere Sicherheitssysteme und erlauben den Zugang zu KI-Anwendungen nur in einem geschützten Umfeld, in dem ihre Daten nicht gefährdet sind.

Die Diskussion um DeepSeek zeigt deutlich, wie wichtig Datenschutz und Cybersicherheit in der heutigen digitalen Welt sind. Die Reaktionen auf die Vorwürfe und die Maßnahmen der Behörden und Unternehmen könnten weitreichende Folgen für die Nutzung Künstlicher Intelligenz in Deutschland haben.